Netzwerke auf der klassischen Computeebene

In diesem Leitfaden werden Features zum Anpassen des Netzwerkzugriffs zwischen der Azure Databricks-Steuerungsebene und der klassischen Computeebene vorgestellt. Die Verbindung zwischen der Steuerungsebene und der serverlosen Computeebene erfolgt immer über das Cloud-Backbone-Netzwerk und nicht über das öffentliche Internet.

Weitere Informationen zur Steuerungsebene und Computeebene finden Sie unter Übersicht über die Azure Databricks-Architektur.

Die Features in diesem Abschnitt konzentrieren sich auf das Einrichten und Sichern der Verbindung zwischen der Azure Databricks-Steuerungsebene und der klassischen Computeebene. Diese Verbindung ist im folgenden Diagramm mit der Zahl „2” gekennzeichnet:

Weitere Informationen zum Konfigurieren von Azure-Netzwerkfeatures zwischen Azure Databricks und Azure Storage finden Sie unter Gewähren des Zugriffs für Ihren Azure Databricks-Arbeitsbereich auf Azure Data Lake Storage Gen2.

Aktivieren der sicheren Clusterkonnektivität

Databricks empfiehlt die Aktivierung der sicheren Clusterkonnektivität in Ihren Azure Databricks-Arbeitsbereichen. Wenn die sichere Clusterkonnektivität aktiviert ist, verbinden sich Computeressourcen auf der klassischen Computeebene über ein Relay mit der Steuerungsebene. Dies bedeutet, dass virtuelle Kundennetzwerke keine offenen Ports und Ressourcen auf der Computeebene keine öffentlichen IP-Adressen haben. Dies vereinfacht die Netzwerkverwaltung, da es nicht mehr erforderlich ist, Ports für Sicherheitsgruppen oder Netzwerkpeering zu konfigurieren. Weitere Informationen zum Bereitstellen eines Arbeitsbereichs mit sicherer Clusterkonnektivität finden Sie unter Schützen der Clusterkonnektivität.

Bereitstellen eines Arbeitsbereichs in Ihrem eigenen virtuellen Netzwerk

Bei jeder Azure Databricks-Bereitstellung wird standardmäßig ein gesperrtes virtuelles Netzwerk (VNET) in Ihrem Azure-Abonnement erstellt. Klassische Computeressourcen werden in diesem virtuellen Netzwerk erstellt. Sie können sich stattdessen für die Erstellung eines neuen Arbeitsbereichs in Ihrem eigenen, kundenseitig verwalteten virtuellen Netzwerk entscheiden (auch als VNet-Injektion bezeichnet). Dies ermöglicht Folgendes:

• Schützen Sie die Verbindung zwischen Azure Databricks und Azure Storage mithilfe von Dienstendpunkten oder privaten Endpunkten. Weitere Informationen finden Sie unter Gewähren des Zugriffs für Ihren Azure Databricks-Arbeitsbereich auf Azure Data Lake Storage Gen2.
• Beschränken Sie von Ihrem virtuellen Netzwerk ausgehenden Datenverkehr mithilfe von Netzwerksicherheitsgruppenregeln.
• Schützen Sie die Verbindung zwischen einem lokalen Netzwerk und Azure Databricks mithilfe von benutzerdefinierten Routen. Weitere Informationen finden Sie unter Verbinden eines Azure Databricks-Arbeitsbereichs mit Ihrem lokalen Netzwerk und Benutzerdefinierte Routeneinstellungen für Azure Databricks.

Weitere Informationen zum Bereitstellen eines Arbeitsbereichs in Ihrem eigenen virtuellen Netzwerk finden Sie unter Bereitstellen von Azure Databricks in Ihrem virtuellen Azure-Netzwerk (VNet-Injektion). Sie können auch ein Peer-Netzwerk zwischen dem virtuellen Azure Databricks-Netzwerk und einem anderen virtuellen Azure-Netzwerk einrichten. Weitere Informationen dazu finden Sie unter Einrichten eines Peerings von virtuellen Netzwerken.

Aktivieren der privaten Konnektivität zwischen Steuerungsebene und klassischer Computeebene

Azure Private Link bietet private Konnektivität von Azure-VNets und lokalen Netzwerken zu Azure-Diensten, ohne den Datenverkehr dem öffentlichen Netzwerk zugänglich zu machen. Sie können die private Konnektivität zwischen der klassischen Computeebene und den Kerndiensten eines Azure Databricks-Arbeitsbereichs in der Steuerungsebene aktivieren, indem Sie Azure Private Link aktivieren.

Weitere Informationen finden Sie unter Aktivieren von Azure Private Link Back-End- und Front-End-Verbindungen.